Des escrocs volent des utilisateurs avec des PDF et des SMS, alerte Zimperium

Des chercheurs de Zimperium ont identifié deux campagnes de phishing utilisant des noms respectables, tels que PayPal et EZDriveMA, pour voler des données financières des utilisateurs mobiles. Les attaques, survenues entre février et avril 2025, distribuent des documents PDF malveillants via SMS et MMS, exploitant la confiance des utilisateurs dans les messages texte.

La campagne EZDriveMA a rapidement généré environ 2 145 domaines malveillants, tandis que l'attaque contre PayPal combine le phishing numérique et le vishing, ou phishing par voix. Des recherches montrent que les solutions de sécurité traditionnelles ont mis jusqu'à 27 heures de plus que les systèmes d'intelligence artificielle pour détecter ces menaces.

EZDriveMA : péages faux et infrastructure tournante

L'attaque EZDriveMA commence par un message contenant un PDF ressemblant à une notification officielle de péage en retard. Ce document inclut des logos et une mise en forme qui cherchent à paraître légitimes. À l'intérieur du PDF, un lien redirige la victime vers un faux site, collectant des identifiants et des données personnelles.

Cette stratégie se distingue par la création rapide d'infrastructures malveillantes, avec 2 145 domaines générés en deux mois. Les modèles analysés montrent l'utilisation d'algorithmes de génération de domaines (DGA), où deux préfixes dominent. La rapidité de la rotation des domaines rend les solutions de blocage traditionnelles inefficaces.

Attirant en raison de sa vaste base d'utilisateurs, EZDriveMA bénéficie de l'urgence créée par la possibilité d'amendes, ce qui facilite la manipulation.

Campagne PayPal : double vecteur et ingénierie sociale

La campagne prétendant être de PayPal adopte une approche plus complexe. Un PDF simule un achat de Bitcoin d'une valeur de 480,11 $, créant un sentiment d'urgence. Les utilisateurs sont induits à annuler la facturation via deux canaux : un lien vers le service client et un numéro de téléphone.

Ces deux actions sont des pièges. Le lien mène à une page frauduleuse qui collecte des données, tandis que l'appel connecte les utilisateurs à des escrocs, qui utilisent l'ingénierie sociale pour extraire des informations confidentielles, y compris des détails de cartes de crédit.

L'infrastructure technique révèle des mécanismes d'obscurcissement, y compris l'utilisation de services de raccourcissement d'URL pour masquer les destinations finales et contourner les outils de sécurité. Le système de collecte permet de cartographier les victimes et d'évaluer l'efficacité de la campagne.

L'efficacité des attaques repose sur la combinaison d'urgence, d'apparence professionnelle et de distribution via SMS, qui sont rapidement consultés par les utilisateurs.

Lacune critique de détection

Une étude a comparé les temps de détection entre les systèmes d'intelligence artificielle et les bases de données publiques. La différence allant jusqu'à trois jours a démontré la supériorité de l'IA, qui identifie les modèles malveillants en temps réel, tandis que les listes publiques dépendent des rapports des victimes.

L'utilisation de détections comportementales s'est révélée efficace pour identifier les menaces avant qu'elles ne soient cataloguées comme malveillantes, montrant la rapidité nécessaire pour protéger les utilisateurs.

Pourquoi des PDFs comme vecteurs ?

Les PDFs offrent des avantages tant techniques que psychologiques pour les attaquants. Leur structure technique permet de cacher des URL malveillantes à travers la complexité, tandis que, psychologiquement, ils sont acceptés dans des contextes professionnels et rarement remis en question par les utilisateurs.

La distribution par SMS renforce cette situation, puisque les messages sont ouverts en quelques minutes, générant un faux sentiment de sécurité.

Absence de protection sur le canal

La majorité des solutions de sécurité n'offrent toujours pas d'analyse efficace pour les fichiers envoyés par SMS/MMS. Malgré les avancées dans les systèmes de filtrage de messages, peu vérifient correctement les fichiers PDF joints, aboutissant à un point aveugle.

Les organisations mettent généralement en œuvre des VPN et des pare-feu, mais ces défenses ne protègent pas les appareils mobiles lorsque les utilisateurs accèdent à des messages personnels en dehors du réseau d'entreprise.

Flux d'attaque documenté

Les campagnes se divisent en trois étapes. La première implique l'envoi de messages texte avec des messages frauduleux, tels que des avis de péage ou des factures. Dans la seconde, les utilisateurs ouvrent des documents convaincants. Enfin, les liens redirigent vers des systèmes frauduleux de collecte d'identifiants ou mènent à des appels où l'ingénierie sociale est appliquée.

Taux de précision et vitesse

L'analyse a classé 2 145 nouveaux domaines avec une précision de 98,46 %. La détection combine protection en temps réel et classification proactive, permettant de cartographier les domaines avant que les utilisateurs ne soient touchés. Chaque heure d'avance représente une diminution du nombre de victimes potentielles, soulignant l'importance des technologies avancées dans ce scénario de cybersécurité.